Как можно запретить vpn
Перейти к содержимому

Как можно запретить vpn

  • автор:

Можно ли заблокировать VPN-сервисы?

4d5fbfc3-65ea-4adf-81a3-645e1e1719c8

23 января VPN-провайдеры сообщили, что пользователи из восточных регионов России (Алтай, Бийск, Омск, Новосибирск и другие) не могли подключиться к серверам с помощью популярных VPN-протоколов, хотя при этом IP-адреса серверов VPN не блокировались. Предполагаем, что это свидетельствует о том, что тестирование блокировки протоколов VPN-сервисов продолжается.

2

Правда ли, что VPN можно заблокировать полностью?

К сожалению, это так. Технологии, с помощью которых происходят ограничения и блокировки, совершенствуются, и цензорам с каждым разом становится всё проще. Число провайдеров, которые установили себе ТСПУ, растёт.

3

Напомните, что такое ТСПУ?

ТСПУ — технические средства противодействия угрозам. Другими словами, это программно-аппаратный комплекс, позволяющий ограничивать доступ к информации, распространение которой запрещено на территории России.

ТСПУ мало чем отличаются от других DPI-комплексов, которые провайдеры ставят уже много лет. Другое дело, что изначально трафик изучали, чтобы выставлять приоритеты при его передаче. Например, голосовые сообщения более требовательны к задержкам, им требуется бо́льший приоритет в общем потоке трафика.

Позже появились решения для монетизации (анализа трафика для продажи информации и подмены рекламы на сайтах, не использующих HTTPS). И вот в последние пару лет уже, как мы видим, технологии применяют в том числе для блокировки контента.

4

А как именно можно заблокировать VPN при помощи ТСПУ?

Есть много способов это сделать, от банальной блокировки IP-адреса серверов, куда обращается VPN-сервис для обновления своих баз для подключения, до блокировки протоколов (IKEv2, OpenVPN, WireGuard). Немного подробнее про второй вариант мы рассказали в нашем посте ранее.

5

Разве можно заблокировать протокол?

Каждый VPN протокол по-своему уникален и имеет оригинальный «отпечаток», с помощью которого можно узнать, что собой представляет этот протокол. ТСПУ умеет смотреть эти отпечатки и фильтровать (ограничивать) их так, как требуется, поэтому заблокировать WireGuard (отпечаток которого читается очень просто) можно очень быстро, впрочем, как и другие известные нам протоколы.

6

«Защищаются» ли VPN-сервисы, когда их блокируют?

Некоторые да, некоторые нет. Одни сервисы используют популярное решение для маскировки трафика obfsproxy (изначально созданное для Tor), которое является достаточно устаревшим и не всегда помогает обойти блокировки. Другие выпускают гайды по настройке VPN в условиях ограничений, как это делал, например, Surfshark.

7

Я использую нестандартный протокол Shadowsocks — я в безопасности?

Не совсем. Shadowsocks был создан в Китае для обхода Великого китайского файрволла, с чем он справлялся какое-то время, но сейчас цензоры научились выявлять его и блокировать. Многих в таком случае спасают надстройки к Shadowsocks, например V2Ray, VMESS или всем известный Cloak — это инструменты, которые делают ваш трафик похожим на обычный, то есть подделывают отпечаток так, чтобы он был похож на тот, который ТСПУ пропускает и не блокирует. Но отметим, что настройка подобных инструментов требует достаточно высокого уровня владения различными технологиями и подходит не всем.

8

Тогда как мне быть, что использовать?

Стопроцентно рабочих советов у нас дать не получится, так как мы не знаем, как цензор себя поведет, когда начнутся тотальные блокировки: будут ли это ограничения популярных протоколов или начнется фильтрация всего, чего можно.

Мы лишь можем порекомендовать вам сервисы, которые имеют опыт борьбы с цензурой и держат у себя на борту решения для обхода блокировок. Это RedShield VPN и AmneziaVPN. Последний можно установить к себе на сервер самостоятельно, после чего — поднять там Shadowsocks или OpenVPN с плагином Cloak всего в пару кликов, без особенных навыков в области IT.

Подробнее о том, что делать, если ваш VPN-сервис заблокировали, читайте в наших предыдущих карточках. И помните, что VPN в браузерах не бывает.

В России заблокировали очередной VPN. А как вообще блокируют VPN’ы?

В мае-июне 2022 года в России было заблокировано несколько крупных VPN-сервисов. Пользователи потеряли возможность защищать свой интернет-трафик и обходить блокировки. Приложение VPN просто не подключалось к серверу.

В этом заключается горькая ирония – инструмент интернет-свободы и интернет-безопасности оказался просто неспособным противостоять государственным средствам блокировки доступа к ресурсам. Поэтому возникает вопрос – как вообще можно заблокировать VPN?

Три способа блокировки VPN

Существует три способа блокировки VPN:

  1. Блокировка доступа к серверу VPN по доменному имени или IP-адресу;
  2. Блокировка VPN-протоколов, например, IPSec;
  3. Блокировка типичного для VPN трафика независимо от используемого протокола.

Все они позволяют заблокировать VPN. Однако они не всегда безопасны для государственных органов и частных компаний.

Блокировка доступа к серверу

Самый распространённый способ блокировки VPN, который использует Роскомнадзор и контролирующие государственные органы других стран – это ограничение доступ к серверу VPN по доменному имени или IP-адресу. Точно так же блокируется доступ к сайтам.

Именно этот способ был реализован при блокировке одного из швейцарских VPN в России. При установлении VPN-соединения приложение обращалось к API-домену. Доступ к нему заблокировали. Приложение, не «достучавшись» до сервера, не могло установить VPN-соединение.

Аналогичная методика блокировки использовалась и в Беларуси в 2020 году.

Этот метод блокировки не эффективен. Правительству требуется ограничивать доступ к каждому отдельному серверу и адресу VPN-сервиса. Поэтому блокируются только самые крупные VPN-сервисы, которые публикуют информацию о своих серверах в открытом виде. Небольшие и частные заблокировать практически невозможно.

Блокировка VPN-протоколов

Для работы VPN требуется установить интернет-соединение между устройством и сервером. Для этого используется передача данных по определённому протоколу. Например, IPSec, L2TP или IKEv2.

Интернет-протокол – это, по сути, формат передачи данных. Трафик определённым способом кодируется и отправляется на сервер, а с сервера – на ваш компьютер или телефон. BlancVPN использует три протокола – OpenVPN, WireGuard и ShadowSocks.

В конце мая 2022 года в некоторых областях России были заблокированы три протокола VPN – IPSec, L2TP и IKEv2. Из-за этого «старые» VPN-сервисы перестали работать. При попытке подключения связь между устройством и VPN-сервером разрывалась.

Этот метод блокировки максимально эффективен. Он позволяет заблокировать все VPN сразу, без точечной выборки по IP-адресам и доменным именам. Однако он крайне опасен для экономики и политики страны. Дело в том, что VPN используют также государственные органы и крупные компании для шифрования передаваемых данных и защиты от хакерских атак. Блокировка протоколов привела к тому, что многие госорганы просто не смогли работать. Поэтому уже через несколько часов ограничение доступа было отменено.

Именно этот способ используется в Китае. Практически все VPN в этой стране не работают, кроме тех, которые применяют «пробивные» и «маскирующие» протоколы, в число которых входят WireGuard и разработанный специально для обхода ограничений «Золотой стены» ShadowSocks.

Блокировка по глубокому анализу трафика

Метод DPI-блокировки (блокировки по глубокому анализу трафика) схож с блокировкой по протоколу, однако использует несколько иной подход. Провайдеры в этом случае «разбирают» каждый передаваемый пакет данных, чтобы найти в нём следы посещения «запрещённых» сайтов или использования блокируемых приложений.

Такой подход ещё не был реализован практически. Оборудование для DPI-анализа уже установлено у большинства российских операторов. Однако глубокая разборка трафика значительно замедляет доступ к интернету и требует от провайдера значительных ресурсов – как технических, так и энергетических или временных.

Можно ли заблокировать все VPN-сервисы?

Технически – да, это возможно. На практике реализовать это крайне сложно, особенно в условиях, когда интернет-инфраструктура строилась на западных технологиях и с использованием принципов сетевой свободы.

При попытке заблокировать доступ к VPN по доменам и IP регулятор столкнётся с тем, что VPN-сервисов очень много: кроме нашего BlancVPN, в мире существует ещё более 180 крупных коммерческих сервисов. Также существуют частные сервисы и небольшие компании. Заблокировать доступ ко всем практически невозможно – тем более, сразу после ограничения доступа к одному серверу компания может открывать новые серверы с другими адресами.

При попытке заблокировать доступ к VPN-протоколам регулятор столкнётся с другими проблемами: VPN используют государственные органы и крупные частные компании. Поэтому ограничение по протоколам приведёт к остановке государственной деятельности и экономики.

Какой VPN выбрать, чтобы его не заблокировали?

Гарантировать 100% защиту от блокировки VPN невозможно. Но при выборе сервиса следуйте нескольким советам:

  • Остерегайтесь использования бесплатных VPN. Они могут зарабатывать на продаже ваших данных, в том числе – государственным структурам. Кроме того, у бесплатных VPN зачастую недостаточно средств на оперативное изменение сетевой инфраструктуры в случае блокировки какого-либо узла.
  • Остерегайтесь использования популярных VPN. Многие сервисы заблокировали из-за их известности. Чем популярнее VPN-сервис – тем выше риск того, что доступ к нему будет ограничен.
  • Старайтесь держать на устройстве как минимум 2–3 VPN-сервиса. Это поможет, если один из них будет заблокирован.

Наш VPN BlancVPN использует современные технологии маскирования трафика, поэтому вы можете быть уверены в его надёжности. Мы также предлагаем быстрое подключение без ограничения по скорости, простую настройку и возможность оплаты российскими банковскими картами.

Быстрый, безопасный и удобный VPN – BlancVPN. Подписаться

Как запретить пользоваталям в сети использовать VPN? как блокировать соединения?

Есть сервер windows server, фаервол, есть 40 пользователей. Как сделать чтобы никто не смог подключаться по vpn и обходить правила трафика в сети?

  • Вопрос задан более года назад
  • 648 просмотров

4 комментария

Средний 4 комментария

Valentin Barbolin @dronmaxman

По хорошему необходимо использовать firewall с DPI.
https://habr.com/ru/post/111054/

На костылях можно перейти на использование прокси сервера, но это не 100% решение с кучей ограничений.

Maksclub

Andrey Barbolin, а если трафик будет обфусцироваться? Поможет DPI?
Valentin Barbolin @dronmaxman
Максим Федоров, Все зависит от алгоритма DPI.

kawabanga

Максим Федоров,
есть vpn, которые обходят DPI в том числе китайский.
К примеру Trojan — мимикрирует под работу вебсайта вообще.

Решения вопроса 0
Ответы на вопрос 4

Совсем DPI.
Усложнить, заблокировать все исходящие соединения кроме HTTP/HTTPS/MAIL.
Еще усложнить HTTP и HTTPS пускать через прокси.
Дополнительно групповыми политиками запретить запуск VPN клиентов.

Ну и самое главное. Должно быть распоряжение запрещающее использование таких средств в компании с соответствующей санкцией, дальше анализ трафика по пользователям и применение данного распоряжения.

Ответ написан более года назад
Нравится 1 1 комментарий

Дополню:
— отобрать у пользователей админские права на раб. станциях
— запрет запуска не разрешенных приложений

Нужен нормальный фаервол, а не виндовый. Либо прокси

С виндовым можно разве что разрешить исходящий http\https и DNS запросы. Остальное запретить И всё.
но может быть проблема работы стороннего софта. и думаю что тот же ovpn по 443 порту пролезет

Ответ написан более года назад

CityCat4

CityCat4 @CityCat4 Куратор тега VPN

Анализ статистики выявляет наиболее «жручие» адреса, которые передаются в СБ. А обьяснения, что это за адреса, давать уже придется там. Ну или руководству, если СБ нет.

Vindicar

Тут нужен DPI, но вообще если есть разрешённые типы трафика во внешнюю сеть, то гипотетически можно провесить туннель. Тот же chisel позволяет заворачивать TCP-трафик в HTTPS-туннель к своему серверу. Так что нужен не просто DPI, а полноценный MitM.

Стоит подойти к задаче комплексно: запретить запуск на рабочих станциях приложений, кроме нужных по работе. Но если у юзеров свои машины.

Ответ написан более года назад
Комментировать
Нравится Комментировать

CityCat4

CityCat4 @CityCat4 Куратор тега VPN
Внимание! Изменился адрес почты!

Нормальный файрволл и нормальный прокси
Никакого пропуска трафика в обход прокси
Анализ статистики и проверка всех наиболее обьемных адресов, чтобы вычислить тех, кто пробрасывает туннели, маскирующиеся под https. Впрочем здесь также будет эффективным вызов в СБ и вопрос «Обьясните пожалуйста, что это за адреса и почему на них столько трафика»?

Такая задача не решается чисто техническими средствами — только административно-техническими.

Запрет VPN в России, или испорченный телефон от политиков

Российский чиновник или политик обладает уникальной способностью, которую воспитывает окружающая среда, он должен уметь переобуваться в воздухе. Умение это приобретенное и оттачивается годами. Вот чиновник открывает рот и что-то говорит, вот проходит совсем короткое время, и мы уже не так его поняли, а имелось в виду совсем иное. К сожалению, изначальная информация еще и искажается в СМИ, которые начинают придавать ей сенсационный характер в погоне за просмотрами и обсуждениями. Примерно так и случилось с очередной информационной сенсацией о том, что в России в марте 2024 года грядет запрет всех VPN-сервисов. Во всяком случае, с десяток разных изданий спрашивали меня именно об этом — как в России смогут запретить кучу VPN-сервисов и что нужно для этого сделать. Короткий ответ был прост — никак не смогут.

Волна поднялась из-за публикации в ленте «РИА Новости», где процитировали сенатора Артема Шейкина, зампреда Совета по развитию цифровой экономики при Совете Федерации. Вот что сказал политик: «С 1 марта 2024 года вступит в силу приказ, согласно которому VPN-сервисы, предоставляющие доступ на запрещенные в России сайты, будут заблокированы Роскомнадзором во всех маркетах». И понеслась по всем уголкам страны новость о тотальном запрете VPN.

Давайте попробуем вместе порассуждать, что происходит и почему запреты выглядят технически безграмотными. Начну с такой малости, как описание Роскомнадзора, ведь это надзорное ведомство, которое следит за выполнением законов. Оно не является создателем законов, функция РКН — контроль соблюдения последних. И это диктует определенные правила игры, в РКН могут выпустить миллион приказов, но они не станут законами. Распоряжения на уровне ведомства не играют никакой роли и не распространяются на всех граждан России. Итого мы получаем понимание, что для запрета VPN как технологии и соответствующих сервисов нужны действия со стороны правительства России либо какого-то из министерств. Но никак не РКН.

В России РКН следит за блокировками доступа к информации, которая считается запрещенной. В рамках своей работы РКН обладает полномочиями блокировать сервисы, которые помогают обойти блокировки, в том числе это различные VPN-клиенты. В РКН научились использовать ТСПУ на сетях операторов, чтобы блокировать VPN-сервисы по сигнатурам, причем наловчились более-менее сносно это делать. Часто по пятницам VPN умирает, чтобы ожить к понедельнику. В РКН тренируются и заодно смотрят, кто из корпоративных клиентов попадает под раздачу, кого нужно добавить в список исключений. Напомню, что VPN – это в первую очередь технология корпоративная, необходимая для работы многих компаний. И никакого тотального запрета VPN как технологии нет и не может быть, о таком не мечтают даже в Китае. Скорее у чиновников есть мечта закрыть доступ для обычных людей к тем ресурсам, что они пытаются блокировать.

Неделю использовал смартфон с батареей 10 000 мАч. Какие выводы сделал

Сегодня на тесте UMIDIGI Power 7 Max. Это смартфон с …

28 октября

Субботний кофе №272

Налейте чашку бодрящего субботнего кофе и познакомьтесь с новостями недели. Представлены смартфоны серии Xiaomi 14, Qualcomm выпустила свой флагманский процессор, а “Яндекс” обновил карты…

26 августа

Тест Livan X3 Pro. Самая дешевая иномарка в России

На российский автомобильный рынок вышел новый игрок из Поднебесной — Livan. Марка новая не только для нас, но и для родного рынка, так как появилась она лишь в 2022 году…

21 сентября

Магия Кабеля, или медь по цене платины

В сфере Hi-Fi и особенно в его «подразделении» Hi-End очень много всяких баек…

Тут в поведении чиновников наблюдается несогласованность, так как, с одной стороны, они говорят, что пользователи могут сидеть в Instagram*, с другой стороны, пытаются всемерно заблокировать эту социальную сеть, но не трогают тот же WhatsApp. Одним словом, кто в лес, кто по дрова. Нет согласованной позиции и соответствующих действий. Мне, в целом, непонятно, зачем нужны запреты такого рода для обычных пользователей.

Корпорации живут в мире, где они подсчитывают свои прибыли и убытки, Россия уже нанесла сильный удар по западным компаниям, они не получают доходы с рекламного рынка России. И это не изменится. То, что кто-то приходит и пользуется их продуктами, скорее минус, это бесплатные пользователи, не приносящие дохода. Можно, конечно, вспомнить, что это часть аудитории, но последняя сегодня не так важна, как те деньги, что вы зарабатываете.

Мне неясны цели, которые преследуют российские чиновники и РКН, когда пытаются любой ценой заблокировать запрещенные ресурсы, а также VPN-сервисы, которые не работают с ними. Последние по определению не будут с ними работать, так как большая часть их просто физически отсутствует в России. Как, впрочем, от нас ушли и большие компании, например, Google или Apple, последние не ведут переговоров с российскими чиновниками, нет никакого общения — ни формального, ни неформального. И в таких условиях можно до посинения писать свои пожелания на деревню дедушке, ничего не изменится. У чиновников нет рычага давления на эти компании.

Что значит запрет определенных VPN-сервисов и, как следствие, приложений? То, что в марте 2024 года РКН напишет грозное письмо о необходимости их блокировки в адрес Google и Apple. Последние ничего не ответят, приложения не исчезнут в магазинах приложений. Что в таком случае будет делать РКН? Правильно, блокировать магазины приложений!

Для iPhone нет никаких альтернативных магазинов, блокировки будут усложнять и так непростую жизнь владельцев, а заодно поломают бизнес пополнения счета App Store через операторов (билайн и МТС). То есть фактически РКН ударит по двум операторам, для которых эта возможность жизненно необходима, они получают свой процент от пополнения счетов, и это значимые цифры в рамках их бизнеса. Но кто считает такие «мелочи»?

На Android блокировка магазина приложений будет выглядеть как рекламная кампания RuStore. Не работает Play Store от Google? Не беда, скачайте наш родной RuStore и пользуйтесь им. Вот только это не загонит всех в RuStore, скорее создаст тягу в альтернативных магазинах, да и установить VPN-сервис напрямую не составит никакого труда. Блокировка чего-либо на Android просто невозможна.

Выгодоприобретатель тут VK, владеющая RuStore, но считать, что это их хитрый план, не буду. Скорее это техническая безграмотность РКН и политиков, которые реально верят в возможность блокировки VPN на Android.

Меня расстраивает, что чиновники тратят бюджетные деньги на свои цирковые номера, которые не приводят ни к чему. Нельзя грозно сообщить о том, что, мол, мы будем блокировать что-либо, но потом просто сесть в лужу. Как это уже было с Telegram, когда чиновники сделали рекламную кампанию для мессенджера (но там действительно было другое, в Telegram загоняли всю оппозицию, чтобы она была в одном и подконтрольном месте). Но сейчас поход против VPN выглядит глупым и обреченным на провал. Главное, что, пытаясь закрыть VPN для обычных пользователей, наносят ущерб компаниям, которые не могут работать в нормальном режиме, экономические убытки огромны и не поддаются прямому подсчету.

Приведу пример, о котором не расскажут чиновники. В России удаленно работают сотрудники, которые являются поддержкой разных компаний, работают они вне страны (тут важно наличие русского или английского языка). Кажется, что в России это небольшой сегмент рынка, что и правда так. Несколько тысяч человек используют разные мессенджеры для работы в других странах. Блокировки РКН выводят эти мессенджеры из строя, несколько тысяч человек внезапно оказываются безработными. В условиях кризиса, когда нужно бороться за любые рабочие места, такое поведение, мягко говоря, выглядит головотяпством. Ни Минцифры, ни какие-то иные министерства просто не обращают внимания на эти «мелочи». И таких вот историй огромное количество. Каждая из них должна приниматься во внимание, так как из них формируется общая среда внутри страны. А для того, чтобы усугублять кризис своим головотяпством, много ума не нужно.

Блокировка VPN превратилась в своего рода традицию, когда уже забыты первоначальные цели, а блокировка сама стала целью. Чиновники спят и видят, как решить проблему, которую они сами создали. Отсутствие технических знаний не позволяет этого сделать, иначе бы и вопрос стоял совсем по-другому. Более того, мы как страна демонстрируем слабость в этом вопросе, не можем создать понятные, прозрачные правила игры для себя. И отсюда все эти цирковые номера, неоднократные обсуждения блокировок VPN и так далее. Так проще всего, потому что нет объяснений, нет работы с населением. Только истории про страшный VPN, который украдет ваши данные. И это создает ровно обратный эффект там, где его не должно быть. Я разочарован тем, что эта кампания против VPN вообще началась, но главное, что она не имеет конечной цели и смысла.

И РКН не сможет победить в борьбе против VPN, только создать проблемы для всех пользователей и компаний, нанести экономический ущерб России, причем заметный. А других последствий не будет, их не может быть. Все желающие будут пользоваться VPN-сервисами, чиновники не смогут их заблокировать. Сама природа VPN-услуг такова, что их создатели умеют обходить блокировки, и на примере Китая видно, что они умеют это делать очень хорошо.

Опрос в нашем Telegram-канале показал, что мало кто верит, что у чиновников что-то получится. Найти его можно здесь.

Так может быть, остановиться, перестать пытаться вычерпать море ложкой и заняться чем-то действительно полезным? Это касается и политиков, которые зарабатывают очки на такой популярной теме блокировок. Боюсь, правда, что нам придется возвращаться к этой теме еще неоднократно, слишком она манит политиков и чиновников. Им бы только запретить все без разбора.

*Компания Meta Platforms, в которую входят социальные сети Facebook, Instagram и Threads, признана экстремистской организацией и запрещена в РФ.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *